Содержание
Вопрос или проблема
У меня есть только что установленная виртуальная машина (4 vCPU, 4 ГБ ОЗУ). Windows Server 2022 с Desktop Experience, также пробовал 2025, также пробовал Core. Полностью локально, без облака.
- У ВМ есть один сетевой адаптер со статическим IP. Интернет доступен.
- Я установил DNS Server, настроил пересылающие адреса, затем назначил для сетевого интерфейса адрес DNS-сервера 127.0.0.1 (это происходит во время повышения до контроллера домена, пробовал как с этим шагом, так и без него). Разрешение имен внешних хостов работает всегда хорошо, к вашему сведению.
- ВМ перезагрузилась.
- Повышен до контроллера домена AD, процесс прошел гладко, доменное имя
mytest.internal. - Вошел как администратор домена, все в порядке.
- Это единственная машина в этом лесу. В этот домен не присоединены другие компьютеры, нет других контроллеров домена.
- Других перенастроек или установки программного обеспечения не проводилось.
Затем я запускаю PowerShell с правами администратора на этой же ВМ и выполняю Test-ComputerSecureChannel. Я всегда получаю следующую ошибку:
PS C:\Windows\system32> Test-ComputerSecureChannel
Test-ComputerSecureChannel : Не удалось проверить безопасный канал для локального компьютера. Операция завершилась с исключением:
Указанный домен либо не существует, либо не может быть найден.
На строке:1 символ:1
+ Test-ComputerSecureChannel
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (WIN22CORE1:String) [Test-ComputerSecureChannel], InvalidOperationException
+ FullyQualifiedErrorId : FailToTestSecureChannel,Microsoft.PowerShell.Commands.TestComputerSecureChannelCommand
То же самое для nltest /sc_verify и nltest /sc_reset:
C:\windows\system32>nltest /sc_verify:mytest.internal
I_NetLogonControl не удался: Статус = 1355 0x54b ERROR_NO_SUCH_DOMAIN
То же самое для netdom:
C:\windows\system32>netdom reset win22core1 /domain:mytest.internal
Безопасный канал от WIN22CORE1 к MYTEST.INTERNAL не был сброшен.
Указанный домен либо не существует, либо не может быть найден.
Указанный домен либо не существует, либо не может быть найден.
Команда не была выполнена успешно.
Вот конфигурация сети. IPv6 отключен, я сделал это в последнюю очередь, это не улучшило ситуацию.
PS C:\Windows\system32> ipconfig /all
Конфигурация IP Windows
Имя хоста . . . . . . . . . . . . : WIN22CORE1
Основной DNS-суффикс . . . . . . . : mytest.internal
Тип узла . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена. . . . . : Нет
WINS-прокси включен. . . . . . . . : Нет
Список поиска суффиксов DNS. . . . . : mytest.internal
Сетевой адаптер Ethernet:
DNS-суффикс, специфичный для соединения . :
Описание . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Физический адрес. . . . . . . . . : 08-00-27-C7-3B-0B
DHCP включен. . . . . . . . . . . : Нет
Автоконфигурация включена . . . . : Да
IPv4-адрес. . . . . . . . . . . : 10.1.1.10(Предпочтительный)
Маска подсети . . . . . . . . . . : 255.255.255.0
Шлюз по умолчанию . . . . . . . . : 10.1.1.1
DNS-серверы . . . . . . . . . . . : 127.0.0.1
NetBIOS по Tcpip. . . . . . . . : Включен
Результат dcdiag:
Диагностика сервера каталогов
Выполняется первоначальная настройка:
Пытаемся найти домашний сервер...
Домашний сервер = WIN22CORE1
* Обнаружен лес AD.
Собраны первоначальные данные.
Проводим необходимые первоначальные тесты
Тестирование сервера: Default-First-Site-Name\WIN22CORE1
Начало теста: Подключение
......................... WIN22CORE1 прошел тест подключения
Проводим основные тесты
Тестирование сервера: Default-First-Site-Name\WIN22CORE1
Начало теста: Реклама
......................... WIN22CORE1 прошел тест рекламы
Начало теста: FrsEvent
......................... WIN22CORE1 прошел тест FrsEvent
Начало теста: DFSREvent
В течение последних 24 часов были предупреждающие или ошибочные события после того, как SYSVOL был расшарен. Проблемы с репликацией SYSVOL могут вызвать
проблемы с групповой политикой.
......................... WIN22CORE1 не прошел тест DFSREvent
Начало теста: SysVolCheck
......................... WIN22CORE1 прошел тест SysVolCheck
Начало теста: KccEvent
......................... WIN22CORE1 прошел тест KccEvent
Начало теста: KnowsOfRoleHolders
......................... WIN22CORE1 прошел тест KnowsOfRoleHolders
Начало теста: MachineAccount
......................... WIN22CORE1 прошел тест MachineAccount
Начало теста: NCSecDesc
......................... WIN22CORE1 прошел тест NCSecDesc
Начало теста: NetLogons
......................... WIN22CORE1 прошел тест NetLogons
Начало теста: ObjectsReplicated
Запуск тестов раздела на : ForestDnsZones
Начало теста: CheckSDRefDom
......................... ForestDnsZones прошел тест CheckSDRefDom
Начало теста: CrossRefValidation
......................... ForestDnsZones прошел тест CrossRefValidation
Запуск тестов раздела на : DomainDnsZones
Начало теста: CheckSDRefDom
......................... DomainDnsZones прошел тест CheckSDRefDom
Начало теста: CrossRefValidation
......................... DomainDnsZones прошел тест CrossRefValidation
Запуск тестов раздела на : Schema
Начало теста: CheckSDRefDom
......................... Schema прошел тест CheckSDRefDom
Начало теста: CrossRefValidation
......................... Schema прошел тест CrossRefValidation
Запуск тестов раздела на : Configuration
Начало теста: CheckSDRefDom
......................... Configuration прошел тест CheckSDRefDom
Начало теста: CrossRefValidation
......................... Configuration прошел тест CrossRefValidation
Запуск тестов раздела на : mytest
Начало теста: CheckSDRefDom
......................... mytest прошел тест CheckSDRefDom
Начало теста: CrossRefValidation
......................... mytest прошел тест CrossRefValidation
Запуск тестов предприятия на : mytest.internal
Начало теста: LocatorCheck
......................... mytest.internal прошел тест LocatorCheck
Начало теста: Intersite
......................... mytest.internal прошел тест Intersite
dcdiag /test:DNS выдает следующее:
Диагностика сервера каталогов
Выполняется первоначальная настройка:
Пытаемся найти домашний сервер...
Домашний сервер = WIN22CORE1
* Обнаружен лес AD.
Собраны первоначальные данные.
Проводим необходимые первоначальные тесты
Тестирование сервера: Default-First-Site-Name\WIN22CORE1
Начало теста: Подключение
......................... WIN22CORE1 прошел тест подключения
Проводим основные тесты
Тестирование сервера: Default-First-Site-Name\WIN22CORE1
Начало теста: DNS
DNS-тесты выполняются и не зависли. Пожалуйста, подождите несколько минут...
......................... WIN22CORE1 прошел тест DNS
Запуск тестов раздела на : ForestDnsZones
Запуск тестов раздела на : DomainDnsZones
Запуск тестов раздела на : Schema
Запуск тестов раздела на : Configuration
Запуск тестов раздела на : mytest
Запуск тестов предприятия на : mytest.internal
Начало теста: DNS
......................... mytest.internal прошел тест DNS
Все роли FSMO очевидно находятся на этом сервере:
PS C:\Windows\system32>netdom query fsmo
Schema master WIN22CORE1.mytest.internal
Domain naming master WIN22CORE1.mytest.internal
PDC WIN22CORE1.mytest.internal
RID pool manager WIN22CORE1.mytest.internal
Infrastructure master WIN22CORE1.mytest.internal
Команда выполнена успешно.
Мой вопрос – почему тест безопасного канала не проходит? Как это исправить? Должен ли я об этом беспокоиться?
Чтобы немного разнообразить ситуацию, вот мои другие обнаружения:
- Если я добавляю другой контроллер домена в тот же домен, он возвращает
TrueдляTest-ComputerSecureChannel. Первый по-прежнему не проходит. - Я заметил такое же поведение в рабочей среде с 2 контроллерами домена, которые работали нормально с 2017 года и продолжают работать нормально. Они были установлены кем-то другим, так что это не мой способ действия. Это Windows Server 2016. “Первый” (тот, который держит все роли FSMO) выдает ошибку при
Test-ComputerSecureChannel, другой работает нормально. Их настройки DNS указывают на другой контроллер, а затем на себя. Домен имеет несколько сотен ПК и столько же пользователей, и все работает хорошо. Репликация между контроллерами домена работает нормально.
Пока моя гипотеза склоняется к тому, что ошибка возникает на сервере, который имеет определенную роль FSMO. Я собираюсь это проверить, но это уже меня раздражает и заняло много времени.
Буду признателен за любые идеи по этому поводу. Заранее спасибо.
Ответ или решение
Проблема с проверкой защищенного канала: возможные причины и решения
В условиях, когда вы только что развернули контроллер домена на основе Windows Server 2022 в изолированной среде с одним контроллером (mytest.internal), важно разобраться с сообщениями об ошибках, связанными с тестированием защищенного канала с помощью Test-ComputerSecureChannel, nltest, и netdom.
Описание проблемы
Вы наблюдаете ряд ошибок, подтверждающих проблему с защищенным каналом. Сообщения об ошибках ясно указывают на невозможность подключиться к домену или существование самого домена:
- Test-ComputerSecureChannel: "Cannot verify the secure channel for the local computer. Operation failed with the following exception: The specified domain either does not exist or could not be contacted."
- nltest /sc_verify: "I_NetLogonControl failed: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN."
- netdom reset: "The specified domain either does not exist or could not be contacted."
Несмотря на успешную установку DC, детализированный вывод dcdiag показывает, что проблемы с защищенным каналом связаны с текущими настройками сети, конфигурацией DNS, или самой службой Netlogon.
Потенциальные причины ошибки
-
Проблемы с DNS:
- Вы указали, что контроллер домена использует адрес
127.0.0.1в качестве основного DNS-сервера. Это может привести к неправильному разрешению имен, особенно при обращении к собственному контроллеру домена. Попробуйте временно настроить DNS-сервер на IP-адрес контроллера или добавить дополнительные внешние DNS-серверы для разрешения имен.
- Вы указали, что контроллер домена использует адрес
-
Проблемы со службой Netlogon:
- Убедитесь, что служба
Netlogonзапущена. Проверьте журнал событий Windows на наличие ошибок, связанных с этой службой.
- Убедитесь, что служба
-
Неправильное имя хоста или DNS-суффикса:
- Убедитесь, что имя вашего компьютера соответствует стандарту DNS, и что оно правильно зарегистрировано в DNS-сервере. Проверьте, что полное доменное имя (FQDN) и суффикс DNS настроены верно.
-
Конфигурация Firewall и сетевого оборудования:
- Проверьте, заблокированы ли необходимые порты для протоколов LDAP и Kerberos.
-
Кэширование и настройка репликации:
- Возможно, вам следует перезапустить сервер для обновления кэша и запустить
dcdiag /test:replicationsдля проверки состояния репликации (хотя вы указали, что у вас только один контроллер).
- Возможно, вам следует перезапустить сервер для обновления кэша и запустить
Возможные решения
-
Изменение настроек DNS:
- Замените DNS-адрес с
127.0.0.1на IP-адрес вашего контроллера домена (например,10.1.1.10). После этого повторите тестыTest-ComputerSecureChannelиnltest.
- Замените DNS-адрес с
-
Проверка и перезапуск службы Netlogon:
- Откройте командную строку от имени администратора и выполните команду:
Restart-Service Netlogon
- Откройте командную строку от имени администратора и выполните команду:
-
Проверка как локализации, так и глобальной настройки:
- Проверьте, правильно ли настроен локальный DNS, и что все связанные записи корректно зарегистрированы и доступны в лесу Active Directory.
-
Переинсталяция службы AD DS:
- В случае продолжения проблем можно рассмотреть возможность повторной установки службы Active Directory на этом контроллере (при этом обязательно выполните резервное копирование всех необходимых данных и настроек).
Несмотря на то, что в вашей среде есть только один контроллер домена, важно помнить, что корректная работа защищенного канала критична для поддержания безопасности и интеграции между клиентскими системами и вашим контроллером домена.
Если вышеперечисленные шаги не дают результата, рекомендуется углубиться в журналы событий Windows, а также обратиться к Microsoft Support для дальнейшей диагностики и помощи.